Haberler 
Coin Bilgisi 
Hakkımızda 
Blokzincir projesi Truebit, akıllı sözleşmelere ait kritik bir açık nedeniyle yaklaşık 380 milyon TL değerinde token kaybına uğradı. Beş yıldan uzun süredir faaliyet gösteren bu projede yaşanan olay, uzun süredir çalışan protokollerin bile güvenlik açıklarına tamamen karşı koyamayabileceğini bir kez daha ortaya koydu.
24’ünde (yerel saatle), Cointelegraph’a göre Truebit, yaklaşık 26 milyon dolar (yaklaşık 383 milyon TL) değerinde bir siber saldırıya uğradı. Bu saldırının ardından Truebit(TRU) token’ının değeri yaklaşık %99 oranında düşüş yaşadı. Saldırganın, protokol içerisindeki bir akıllı sözleşme içindeki mantıksal hatayı kullanarak Ethereum(ETH) karşılığında neredeyse hiçbir ödeme yapmadan büyük miktarda token üretmeyi başardığı bildirildi.
Blokzincir güvenliği şirketi SlowMist’in analizine göre, sorun ‘taşma(overflow) koruması’ uygulanmamış bir tam sayı toplama işleminden kaynaklandı. TRU token alımıyla ilişkili sözleşmedeki bu işlem, hesaplama sırasında hata yaratarak istenen Ethereum tutarının neredeyse sıfıra yakın çıkmasına yol açtı. Hacker da bu açıklıktan yararlanarak neredeyse ücretsiz şekilde büyük miktarda TRU token basıp toplam 26 milyon dolar değerindeki varlığı ele geçirdi.
SlowMist ayrıca sözleşmenin 0.6.10 sürümündeki eski bir Solidity derleyicisiyle yazıldığını ve bu versiyonda taşma korumasının varsayılan olarak etkin olmadığını hatırlattı. Bu eksiklik, hesaplama sonucunda ortaya çıkan değerin uint256 tipinin üst sınırını aştığında sıfıra yakın bir değere ‘sarılarak’ dönmesine neden oldu. Böylece saldırgan, bu kod açığını oldukça kolay şekilde kullanabildi.
Truebit, 2021 Nisan ayında Ethereum ana ağı üzerinde resmi olarak başlatılmıştı. Uzun süren faaliyeti ve teknik güvenilirliğiyle kullanıcıları cezbeden Truebit’in son saldırıyla birlikte, popüler projelerin dahi akıllı sözleşme güvenliği konusunda her zaman risk altında olabileceği yeniden ortaya çıkmış oldu.
Akıllı sözleşmelerdeki güvenlik sorunları, son yıllarda özellikle yapay zeka teknolojilerinin ilerlemesiyle daha çok dikkat çekmeye başladı. Yapay zeka firması Anthropic’in yayımladığı bir rapora göre, ticari olarak kullanılabilen yapay zekâ araçları bağımsız şekilde yaklaşık 4,6 milyon dolar (yaklaşık 67 milyon TL) tutarında akıllı sözleşme saldırısı kurgulayabiliyor. Bu simulasyona, Anthropic'in CLAUDE Opus 4.5 ve Sonnet 4.5 modelleri ile OpenAI'nin GPT-5 modeli de katıldı.
2025 yılı boyunca gerçekleşen kripto para hack vakalarında da en çok kullanılan yöntem, yine akıllı sözleşmelerdeki açıklar oldu. SlowMist’in yıl sonu raporuna göre, toplamda 56 olay doğrudan akıllı sözleşme hatalarıyla ilişkiliydi ve bu, tüm siber güvenlik olaylarının yaklaşık %30,5’ini oluşturdu. Bu kategori sonrasında %24 ile hesap ele geçirme saldırıları (50 olay) ve %8,5 ile özel anahtar sızıntıları geldi.
Öte yandan, siber suçluların hedeflerinde artık sadece kod zafiyetleri değil, kullanıcıların kendisi de var. SlowMist, giderek daha fazla saldırganın karmaşık teknik yöntemler yerine kullanıcı psikolojisini hedefleyen ‘on-chain sosyal mühendislik’ taktiklerine yöneldiğini belirtiyor.
Özellikle ‘oltalama’ (phishing) saldırıları 2025’te en büyük ikinci tehdit haline gelirken, toplamda 248 vakada yaklaşık 722 milyon dolar (yaklaşık 1 trilyon 47 milyar TL) zarara sebep oldu. Her ne kadar bu rakam geçen yıla göre %38 azalma gösterse de hâlâ oldukça yüksek. Blokzincir güvenlik şirketi CertiK’e göre, bu tür saldırılarda kötü amaçlı kod kullanılmaksızın basit bağlantılarla kullanıcı cüzdanlarına erişim sağlanıyor ve çoğu kullanıcı bu gibi tehditleri fark etmeden tuzağa düşmeye devam ediyor.
Truebit’in başına gelen bu olay, ne kadar karmaşık ve teknik olarak gelişmiş olursa olsun her projede güvenlik doğrulamasının sürekli bir şekilde yapılması gerektiğini hatırlatıyor. Aynı zamanda insan hatasını hedef alan phishing gibi teknik dışı saldırılar da hızla yayılıyor. Bu nedenle güvenlik stratejilerinin yalnızca kod değil, kullanıcı eğitimi gibi insani bileşenleri de içeren bütünsel bir yaklaşımla ele alınması gerekiyor.
Yorum 0